- 博客(7)
- 收藏
- 关注
RSS订阅原创 代码安全扫描工作怎么才能全自动化地跑起来?
代码安全扫描全自动化地在企业中跑起来,需要一个较好的测试平台,这个平台可以集成代码的版本控制系统,定时地从版本控制系统中抽取代码,再把代码输送的代码安全扫描工具中,进行扫描,扫描完成后,可以完成初步的漏洞的分类,分级,审计工作,输出扫描报告通过邮件和通知的方式发送给代码的负责人,这个就可以自动化地运行了。思客云的找八哥系统可以实现全自动化运行来做代码安全扫描工作。你可以参考一下。...
2019-07-17 17:38:48
315
原创 有了渗透测试还需要源代安全扫描吗?
有了渗透测试,依然需要源代码安全扫描,渗透测试和源代码安全扫描是两个不同的测试手段,两种测试手段,一白盒一黑盒 ,一动态一静,非常互补。有一些好的测试解决方案可以把渗透测试和源代码安全扫描集成在一起平台上,形成统一的安全测试平台,思客云的找八哥系统就可以做到,你可以了解一下。...
2019-07-17 17:34:47
173
原创 源代码安全检测工具高效去误报
源代码安全测试工具当然是有用的,存在即合理嘛。再说,还是有那么多的大企业,银行,检测机构都在使用源代码安全检测工具来检测代码安全,所以有用是肯定的。当然,很多技术人员都在说源代码安全检测工具的误报率很高,在我看来也不能直接说一定是很高的,这个关键是看用的好坏和会不会用。一方面任何一个测试工具都会有一定的误报,源代码安全检测所检测出来的都是可能的漏洞,一般开发人员对于漏洞的理解,或者说潜在的、可能...
2019-07-17 17:27:53
827
原创 静态代码安全扫描工具国内和国外的对比
国内的静态代码安全扫描工具好。国外的静态代码安全扫描产品检测能力比较优先,技术能力比较强,对新的技术,新的安全漏洞检测手段应用的比较好。但主要就是售后支持不太好,要让他们给你改个需求,定制个功能,几乎是不可能的。国产的静态代码安全扫描产品,最两年发展也不错,检测手段和能力也不差,而且比较易用,用户体验比较好,有很多功能都是可以和用户的应用场景结合的,像我知道的思客云的找八哥系统就比较不错。可以考虑...
2019-07-17 17:22:51
3410
转载 思客云推出“泛代码安全”解决方案 重新定义软件安全测试新航标
思客云软件源代码安全测试系统——“找八哥”是思客云(北京)软件技术有限公司采用领先的源代码静态分析技术自主研发的一款软件源代码安全漏洞分析产品,是国内第一款企业级的软件源代码安全漏洞检测系统。它能够对软件源代码的语法、语义的深度解析后,基于对程序的数据流、语义、控制流、上下文结构等多个分析算法,从程序的多个方面进行统一的分析,高效地检测出软件源代码中的可能导致严重安全漏洞和系统运行异常的质量问题...
2019-07-16 12:32:34
505
原创 企业级代码测试工作怎么开展
企业级代码测试工作怎么开展:代码安全测试工作在企业内如何开展,解决这个问题,需要从三个方面如手,这三个方面分别是:制度建设、团队建设和技术建设。三者相辅相承,相互牵动,缺一不可。其中:制度建设:俗话说:“无规矩不成方圆”。制度建设在企业部门重多、关系复杂的环境中显得尤为的重要。这里我们需要通过管理层建立权威的软件安全测试制度团队建设:无论做什么事情,人永远是最重要的。如果有一个良好的软件安全...
2019-07-16 12:15:03
204
原创 “让开发者爱上安全测试”系列之---源码安全测试谁负责?
“让开发者爱上安全测试”系列之—源码安全测试谁负责?前言:顺着应用安全的发展,对于源代码安全测试,在源代码层面是进行安全漏洞的测试与防范,避免产生所谓的“0-day”漏洞,现在已是大家的共识,成为构建软件安全保障体系中必备环节。但我也常常听到有人抱怨“源代码安全测试很难开展,总是遇到这样那样的问题,分工不明,权责不清,配合变成对抗,最后导致虎头蛇尾,甚至是执行不下去,留以形势,无法产生实际作用...
2019-04-03 10:20:57
264
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人